IPv6 = totale Überwachung?

Zunächst sprechen statistische Gründe für das Argument, denn wenn viele Dinge vermehrt mit weltweit eindeutigen Identitäten verknüpft werden, wird es auch mehr Möglichkeiten der Datenerhebung geben. Bei genauerer Betrachtung ist dieses Argument jedoch relativ schwach, wie dieser Beitrag zeigen möchte. Dazu werde ich auf Details beider Protokolle, IPv4 und IPv6 eingehen, die gesellschaftliche Auswirkungen hatten oder haben könnten und zum Teil die Diskussion über die Einführung von IPv6 bereits beherrschen.

Überall weltweite Eindeutigkeit bei IPv6, aber wie dauerhaft?

Zunächst ist der wichtige Umstand festzuhalten, dass eine IPv6-Adresse zweifach weltweit eindeutig werden kann und meistens auch wird. Zum einen geschieht dies zwingend im Präfix, also grob in den ersten 64 Bit der Adresse, welche dem Kunden vom Internetprovider zugewiesen werden. Dies ist erforderlich, um Datenverkehr dem entsprechenden Internetanschluss zuführen zu können. Zum anderen wird oft noch einmal der Interface Identifier, also die letzten 64 Bit der Adresse, die vom Kunden eines Providers eigentlich völlig frei für jeden Rechner gewählt werden könnten, weltweit eindeutig. Die 128 Bit lange IPv6-Adresse besteht aus Präfix und Interface Identifier und jede einzelne Information lässt für sich recht sicher auf einen Teilnehmeranschluss oder gar Teilnehmer schließen. Wenn auch nur eine dieser Informationen sich nicht regelmäßig ändert, hat man also ein eindeutiges Indentifizierungsmerkmal.

Bei der Wahl des Interface Identifiers ergibt sich ein Dilemma: Wählen wir ihn sehr zufällig, wie z.B. 21a4:73f6:8e25:7515, wird er weltweit eindeutig, und wählen wir ihn zu einfach, wie z. B. 0:0:0:10, kann er leicht erraten werden. Denn ein Aspekt kommt noch hinzu: Der erste Schritt eines Angriffs von außen auf ein Netz ist meistens ein Sweep-Scan, das heißt, der Angreifer versucht festzustellen welche  IP-Adressen irgendeine Antwort liefern, sei es auf Echo-Anfragen oder Portscans. Das ist für Netzgrößen von wenigen hundert Adressen, wie sie bei IPv4 üblich sind, in wenigen Minuten geschehen, und so ist es Realität, dass auf jedem mittels IPv4 an das Internet angeschlossenen Rechner pro Minute einige solcher ungebetenen Pakete ankommen, die versuchen Schwachstellen zu finden. Dagegen können bei IPv6 unmöglich alle 2 hoch 64 Adressen, die durch unterschiedliche Wahl des Interface Identifiers möglich sind, von einem Angreifer via Sweep-Scan durchprobiert werden. Ein Rechner sollte sich bei IPv6 also in der irrsinnigen Menge möglicher Adressen verstecken, die jedem Heimanschluss zur Verfügung stehen. In der Praxis erzeugen viele IPv6-Implementierungen den Interface Identifier immer wieder gleich und quasi weltweit eindeutig aus der Hardwareadresse (MAC-Adresse) der Netzwerkkarte.

Der Status quo: Überwachbarkeit von IPv4

Doch wie steht es eigentlich um die Überwachbarkeit von IPv4? Der Stand heute ist, dass ein Internetprovider technisch natürlich den Datenverkehr mit Quell- und Zieladresse mitlesen kann. Sicherheitsbehörden kann problemlos die Möglichkeit zur Überwachung von IPv4-Anschlüssen und Zugriff auf die Historie der IPv4-Adressen, die dafür vergeben wurden, gewährt werden. Die gute alte Fangschaltung, wie sie noch in einigen Krimis immer mal wieder bemüht wird, benötigt man nicht mehr.

IPv4 hat derzeit die Schwäche, dass die Kommunikation fast ausschließlich auf zentrale Server angewiesen ist, da nur diese feste Adressen haben und damit allen Beteiligten dauerhaft bekannt sind. Das gilt für E-Mail-Versand ebenso wie für das Telefonieren über IPv4 oder soziale Netzwerke. So könnte etwa der Betreiber eines Mailservers den Nutzern diktieren, dass der Verkehr unverschlüsselt und schlecht oder gar nicht authentifiziert zu geschehen hat. In jedem Falle sind diese zentralen Server, wie z. B. der eines Freemailproviders, Fundgruben für Überwachungsinstitutionen. Angeblich wurde so etwa die islamistische Sauerlandgruppe ausgehoben.

Ein privater Internetanschluss bekommt in der Regel eine täglich wechselnde IPv4-Adresse aus einem großen Bereich zugewiesen. Zum einen können die Internetanbieter so ihre knappen Kontingente an IPv4-Adressen besser ausnutzen, zum anderen garantieren sie dem Kunden damit eine gewisse Privatsphäre. Eine Folge ist, dass Serverbetreiber bei IPv4 einen Dienst oft gar nicht abhängig von Quelladressen auf IP-Ebene freischalten können. Der einzelne Nutzer kann maximal sagen, dass er IPv4-Adressen aus einem sehr großen Pool zugewiesen bekommt, der möglichst komplett als Quelle erlaubt sein müsste. Auch ist es kompliziert auf einen Heimanschluss mit ständig wechselnder Adresse aus dem Internet zuzugreifen.

Da jedem Anschluss bei IPv4 wegen Knappheit nur eine weltweit eindeutige Adresse zugewiesen wird, benutzen die Menschen Network Address Translation (kurz NAT), um bei ausgehenden Verbindungen Richtung Internet mehrere Rechner mit so genannten privaten Adressen hinter dieser einen öffentlichen Adresse zu verstecken. Der Preis dafür ist, dass aus dem Internet auf diese Rechner nicht ohne weiteres voll zugegriffen werden kann. Der Heimanwender wird zum Konsumenten degradiert. Des Weiteren werden Verschlüsselungen, z.B. mittels IPsec, bei IPv4 oft nicht von Ende zu Ende, sondern im Tunnel-Modus realisiert, da wegen NAT der Zielrechner nicht ohne Weiteres zu erreichen ist. Das heißt, dass oft ein Teil des Weges unverschlüsselt im privaten Netz zurückgelegt wird, wenn eine unzureichende NAT-Implementierung die Kommunikation über IPsec nicht ganz unterbindet. Ein Vorteil von NAT für die Privatsphäre ist, dass sich oft ganze Netzwerke hinter einer IP-Adresse verbergen können ohne dem Internet ihre innere Struktur preiszugeben.

IPv6: Erreichbarkeit gegen Privatsphäre?

Nun zu IPv6. Ein Irrglaube ist, dass für die IPv6-Einführung ein Masterplan aller Provider und Behörden existiert. Das konnte man beim Heise-IPv6-Forum im Mai 2009 erfahren. Dieses Treffen wurde größtenteils zur Rückversicherung der Branche genutzt: Wie weit sind die anderen? Finden alle es befremdlich, dass einige Hersteller noch nicht implementiert haben? Wie viele Adressen soll man für welche Art von Kunden vorsehen, gibt es da Richtlinien? Und so weiter. Ich fragte also die versammelte deutsche Internetgemeinde bei diesem Treffen: In drei Sätzen bitte, wie stellt man die gleiche Privatsphäre mit IPv6 her, die man bei einem IPv4 Anschluss mit NAT und dynamisch wechselnder Adresse genießt?

Die erste Antwort lautete: Mit den Privacy Extensions, also einer Technik, welche regelmäßig den Interface Identifier wechselt, gepaart mit ebenso dynamischen, also vom Provider ständig wechselnd zugewiesenen Präfixen, wie man es von IPv4 her schon für die einzige öffentliche Adresse kennt. Gut, das genügt für Privathaushalte, aber was ist mit großen Firmen, sollen dort alle Mitarbeiter jede Stunde oder gar für jede Verbindung neue Interface Identifier und damit IPv6-Adressen bekommen? Das gibt Chaos. Andererseits möchten Unternehmen bei nach außen gerichteter Kommunikation auch nicht die interne Struktur offenbaren, nach dem Motto: Ach schau mal, Sachbearbeiter Schäuble surft jetzt mit demselben PC, wie vorher Herr Schily.

Die Antwort auf das zweite Problem lautete: Es wird doch wohl so kommen, dass in Firmen Anfragen nach außen über einen Proxy laufen, also zunächst an einen Rechner im Unternehmen gestellt werden, der dann nach bestimmten Kriterien filtert und selbst die Anfrage nach außen stellt, um die Antwort nach innen über eine separate Verbindung weiterzureichen. So ist nach außen nur die Adresse des Proxys sichtbar. Im Unternehmen werden dann geordnet IPv6-Adressen vergeben, und soll eine Verbindung zwischen außen und innen direkt ermöglicht werden, so kann das für einzelne Ziel- und Quelladressen am Proxy vorbei geschehen, z. B. durch entsprechendes Routing.

Für Privathaushalte und kleinere Netze schließt sich die Frage an: Müssen wir uns also entscheiden zwischen Privatsphäre und den Vorteilen der Erreichbarkeit durch feste, nicht wechselnde IPv6-Adressen (Also festes Präfix und fester Interface Identifier)? Die Antwort lautet nein, oder besser, das hängt von der Ausgestaltung und der weiteren Entwicklung ab. Die Lösung besteht darin, dass die Nutzer gleichzeitig feste und dynamische Präfixe von den Providern verlangen und beide parallel in ihrem keinen Netz betreiben, was in den Standards von IPv6 eigens als Möglichkeit vorgesehen ist.

Beim normalen Surfen könnte man dann dauernd wechselnde Identitäten benutzen, und gleichzeitig auf den festen Adressen angerufen werden oder verschlüsselte Nachrichten entgegennehmen. Zu bestimmten, streng gefilterten Diensten könnte man seine festen Adressen auch als Quelle benutzen, eine Unterscheidung, die man zugegebenermaßen den Anwendungen oder dem Betriebssystem zum Beispiel in Form einer veränderten "policy table", welche laut RFC-3484 die Wahl der Quell- und Zieladressen regelt, beibringen müsste.

Setzt sich nun mit IPv6 mehr streng gefilterte, verschlüsselte Ende zu Ende Kommunikation direkt zwischen Teilnehmern, ohne Server dazwischen, durch, bleibt trotzdem die Möglichkeit der anonymen Kommunikation zu Fremden und können die Adressen neu angebundener Rechner nicht leicht von Angreifern erraten werden, so ließe sich mit IPv6 Überwachbarkeit vermindern und die Privatsphäre besser schützen.

Noch hat sich IPv6 bei privaten Internetanschlüssen nicht durchgesetzt. Es gibt aber längst Seiten, die ohne IPv6 nicht erreichbar sind, z.B. http://ipv6.google.com oder http://www.six.heise.de. Ein vollwertiger IPv6-Anschluss sollte aber ein festes und ein dynamisches Präfix umfassen, darauf gilt es die Provider hinzuweisen.